Бухоблік інфо. Бухоблік інфо Зовнішні користувачі 1с 8.3

У цій статті йтиметься про налаштування прав доступу користувачів до об'єктів системи 1С.

У 1С 8для керування доступу користувачів використовується окремий об'єкт метаданих, який називається Ролі.

Зверніть увагу! Ця стаття написана на допомогу програмістам. Налаштування прав в режимі користувача на прикладі 1С Бухгалтерія розглянута в .

Роль визначає набір прав користувача, які має. Механізм ролей дуже нагадує механізми прав Windows Active Directory. Для кожного з об'єктів (довідники, документи) розробник встановлює свій набір прав - читання/запис/додавання/зміна/...

Набір доступних прав сукупність усіх дозволів у ролях користувача.

Якщо відкрити об'єкт метаданих Роль, ми можемо побачити таку картину:

Об'єкт має дві закладки — Права та Шаблони обмежень. Права – основна закладка, Шаблони – вкладка для налаштування прав на рівні запису в 1С ( RLS). Це дуже важлива тема, яку я намагатимуся описати в майбутніх статтях.

Розглянемо тільки вкладку Права.

Об'єкти- Список, на які встановлюватимуться права.
Права— список можливих параметрів прав.
Обмеження доступу до даних- поля ролі для налаштування

Слід звернути увагу на галочки в нижній частині:

Встановлювати права на нові об'єкти— якщо прапор встановлений у ролі, на нові об'єкти метаданих будуть автоматично встановлені дозвільні права. Рекомендую встановити, якщо Ви часто забуваєте встановити права нових об'єктів.
Встановлювати права для реквізитів та табличних частин за умовчанням— прапор, при встановленні якого реквізити та табличні частини успадкуватимуть права власника (довідника, документа тощо)
Незалежні права підлеглих об'єктів— якщо прапор встановлений, система при визначенні права на об'єкт конфігурації врахує права на батьківський об'єкт

Налаштування прав на всю конфігурацію

Якщо відкрити Роль і натиснути на корінь конфігурації, ми побачимо наступні настройки:

Докладніше про кожного з прав на всю конфігурацію:

Отримайте 267 відеоуроків з 1С безкоштовно:

Адміністрація— адміністрування інформаційної бази (потрібна наявність права «Адміністрація даних»)
Адміністрація даних- Право на адміністративні дії над даними
Оновлення конфігурації бази даних- право на
Монопольний режим- Використання монопольного режиму
Активні користувачі— Перегляд списку активних користувачів
- журнал реєстрації
- Право запуску тонкого клієнта
- право запуску веб-клієнта
Товстий клієнт- право ролі запуску товстого клієнта
Зовнішнє з'єднання- Право запуску зовнішнього з'єднання
Automation- право на використання automation
Режим «Всі функції»— у режимі керованої програми
Збереження даних користувача— Дозвіл або заборона збереження даних користувача (налаштувань, обраного, історії). Особливо актуально для 1С керованих форм.
Інтерактивне відкриття зовнішніх обробок- Відкриття зовнішніх обробок
Інтерактивне відкриття зовнішніх звітів- Відкриття зовнішніх звітів
Висновок- Висновок на друк, запис та копіювання в буфер обміну

Налаштування прав 1С 8.2 на інші об'єкти метаданих

Для інших основних об'єктів (довідники, константи, документи, регістри ...), набір прав у ролі досить стандартний:

Читання- Читання (програмне)
Додавання- Додавання (програмне)
Зміна- Зміна (програмне)
Вилучення- Видалення (програмне)
Перегляд- Перегляд
Інтерактивне додавання- інтерактивне додавання
Редагування- Редагування
Інтерактивна позначка видалення- інтерактивна позначка на видалення
Інтерактивне зняття позначки видалення- Зняття позначки на видалення
Інтерактивне видалення помічених- Видалення помічених об'єктів
Введення рядком— використання режиму введення рядка
Інтерактивне видалення- Безпосереднє видалення (shift +del)

Права тільки для документів:

Інтерактивне проведення- Проведення
Скасування проведення- Скасування проведення документів
Інтерактивне проведення неоперативне- Проведення (стандартними командами форм) документа в неоперативному режимі
Інтерактивне скасування проведення- інтерактивне скасування проведення
Інтерактивна зміна проведених- Редагування проведеного документа. Якщо право ролі не встановлено, то користувач не може видалити проведений документ, встановити позначку видалення, перепровести або зробити непроведеним. Форма такого документа відкривається у режимі перегляду

P.S.Якщо Вам не вдалося розібратися в ролях користувачів, Ви можете замовити .
Відео з прикладом налаштування прав у 1С бухгалтерії 3.0:

Сьогодні поговоримо про налаштування прав користувачіву типових конфігураціях 1С.

Як приклад скористаємося демонстраційною версією конфігурації ЗУП редакції 3.1, де вже заведено кілька користувачів і налаштовані права їм. Як відомо для розмежування доступу до об'єктів конфігурації (довідники, документи тощо) використовуються ролі, які можуть бути призначені тим чи іншим користувачам. Це у найпростішому варіанті. Але коли кількість користувачів в інформаційній базі сягає кількох десятків, а іноді й сотень — досить проблематично вручну відзначити необхідні ролі кожного користувача. Тому в типових конфігураціях як правило реалізований механізм, який дозволяє організувати користувачів групи і призначати ролі не кожному користувачу окремо, а цілій групі. Це дозволяє значно заощадити час.

Отже, для налаштування прав користувача типової конфігурації використовуються такі довідники: Користувачі, ГрупиДоступуі ПрофіліГруп Доступу. Схематично зв'язок цих довідників між собою можна подати так

Таким чином, кожен користувач може входити в одну або кілька груп доступу. У свою чергу, кожна група доступу пов'язана зі своїм профілем. А до профілів вже прив'язані безпосередньо ролі, які редагуються у конфігураторі.
У момент першого запуску конфігурації у режимі підприємства автоматично створюються типові групи та профілі.

Тепер розглянемо трохи докладніше ці довідники. Доступ до них відкривається на закладці Адміністраціяв розділі Налаштування користувачів та прав

У вікні нам доступні всі три довідники.

Розглянемо їх коротко.

Щоб розмежувати права доступу, в 1С 8.3 існують спеціальні об'єкти конфігурації – ролі. Надалі можуть призначатися конкретним користувачам, посадам тощо. в них вказується, які об'єкти конфігурації будуть доступны. Також є можливість прописати умови надання доступу.

Ролі налаштовуються у конфігураторі. Також їх можна призначити конкретним користувачам, але для зручності в 1С реалізований механізм груп доступу. У довіднику користувачів відкрийте («Адміністрування — Налаштування користувачів та прав — Користувачі») картку будь-якого співробітника та натисніть кнопку «Права доступу». У різних конфігураціях інтерфейс може відрізнятися, але суть та сама.

Перед вами відкриється список записів довідника "Профілі груп доступу". Прапорцями відзначаються ті права яких користувачеві будуть доступні.

Довідник профілів груп доступу («Адміністрування – Налаштування користувачів та прав – Профілі груп доступу») містить у собі перелік ролей, який буде доступний користувачеві під час його призначення. Доступні ролі профілю відзначаються прапорами.

У користувачів часто зустрічаються однакові набори ролей. Використання цього механізму дозволяє спростити налаштування прав, вибираючи не самі ролі, а профілі груп доступу.

Ролі у конфігураторі (для програмістів)

У ролях вказується, які об'єкти та за яких умов будуть доступні користувачеві, якому вони доступні. Відкрийте будь-яку роль, і ви побачите дві вкладки: «Права» та «Шаблони обмежень».

На першій вкладці відображається список об'єктів конфігурації та призначені для цієї ролі права на них.

При дозволі здійснення будь-яких дій з об'єктом, є можливість вказати обмеження доступу до даних. Цей механізм називається RLS і дозволяє налаштувати права лише на рівні записів. Він досить цікавий, але за активного використання може знизитися продуктивність.

У нижній частині форми ролі можна налаштувати автоматичне встановлення прав:

для нових об'єктів (дозвіл);
на реквізити та табличні частини (права успадковуються від об'єкта – власника)
на підлеглі об'єкти (права призначаються з урахуванням прав батьківські об'єкти).

Права можна призначити як у відбільні об'єкти, і всю конфігурацію загалом. У будь-якій ролі на вкладці «Права» виберіть пункт під назвою конфігурації. Праворуч відобразяться всі можливі для неї ролі. Тут містяться режими запуску програми, Усі функції, адміністративні та інші права. При натисканні на будь-яке право внизу відобразиться його опис. Тут нема нічого складного.

Налаштування прав для інших об'єктів зміни сходи між собою: читання, додавання, видалення, проведення (для документів), управління підсумками (для регістрів накопичення та бухгалтерії) та інші. Тут важливо наголосити на право на «Інтерактивне видалення». За його доступності користувачі зможуть фізично видаляти дані із програми (shift+delete). Для важливих об'єктів це право призначати вкрай небажано.

Програмна перевірка прав доступу

Для перевірки доступності користувача будь-якої ролі служить наступна функція:

РольДоступна(«АдміністраторСистеми»)

У тому випадку, коли роль, яку перевіряє, призначена користувачеві, функція поверне значення «Істина». Інакше – «Брехня».

Для того, щоб виконати будь-які дії з об'єктом, до якого немає доступу, можна скористатися таким методом:

ВстановитиПривілейованийРежим(Істина)

Після включення привілейованого режиму жодних перевірок прав не провадиться. Після завершення дій над недоступними об'єктами необхідно знову викликати цей метод з параметром «Брехня» для вимкнення цього режиму. Пам'ятайте, що у клієнт-серверному варіанті при виконанні на клієнті даний метод не виконує жодних дій.

Для перевірки того, чи встановлено привілейований режим функція (повертає «Істина» або «Брехня»):

Привілейований режим ()

Інтерфейс користувача за відсутності прав доступу

При спробі користувача зробити будь-яку дію в програмі, але яка у нього немає прав буде видано відповідне попередження.

Трапляються випадки, коли в якомусь полі відображається напис формату «<Объект не найден>» із зазначенням GUID, можливо, у користувача теж не вистачає прав на читання значення, що міститься в ньому. Для перевірки цієї теорії достатньо переглянути значення цього поля під повними правами. Якщо напис не пропадає – є ймовірність битого заслання.

Кожен адміністратор 1С:Підприємства знає, що завдання поділу прав користувачів та відповідної зміни робочого інтерфейсу є однією з основних при впровадженні облікової системи або появи нових користувачів. Від того, наскільки якісно буде виконане це завдання залежить ефективність роботи та безпека даних. Тому сьогодні ми поговоримо про особливості налаштування прав користувача та інтерфейсу в керованому додатку.

Насамперед хочеться відзначити основні аспекти цього виду налаштувань. Багато хто підходить до цього питання однобоко, розглядаючи їх суто як міру захисту від несанкціонованого доступу до даних або некваліфікованої модифікації. При цьому забувають про інший бік медалі: створення для користувача простого та зручного робочого середовища. У тих випадках, коли робочий інтерфейс користувача перевантажений не потрібними йому пунктами, сенс яких до того ж йому до кінця не зрозумілий, виникає хибне уявлення про зайву складність програми і з'являється страх допустити помилку. Зрозуміло, що це не сприяє підвищенню продуктивності праці співробітника.

В ідеалі кожен співробітник повинен бачити тільки ті елементи інтерфейсу, які потрібні йому для виконання своїх безпосередніх обов'язків. Тоді і працювати буде простіше, і спокус полазити там, де не треба не виникне. Причому виконувати подібні установки є сенс і тоді, коли якісь підсистеми просто не використовуються або обмеження доступу до них не потрібно. Це зробить інтерфейс більш простим і зрозумілим, а отже, працювати користувачеві буде простіше та комфортніше.

Якщо ми повернемося трохи в минуле, то можемо згадати, що у звичайних конфігураціях Роліі Інтерфейсибули частиною конфігурації і для їх тонкого налаштування потрібно включити можливість внесення змін, а в базових версіях було неможливо взагалі.

Недоліки цього підходу очевидні: це ускладнення обслуговування інформаційних баз, і можливі конфлікти при наступних оновленнях, коли змінені об'єкти зміни вимагають зміни прав доступу.

У керованому додатку налаштування прав та інтерфейсів були нарешті винесені в режим користувача і налаштовуються безпосередньо з інтерфейсу програми. Права користувача призначаються на основі його членства у групах доступу. Перейдемо в Адміністрація - Налаштування користувачів та прав - Групи доступу - Профілі груп доступу, де ми побачимо вже встановлені профілі для основних груп доступу.

Користувач може входити одразу до кількох груп доступу, у цьому випадку підсумкові права сумуватимуться. Загалом все досить зрозуміло і звично, хіба налаштування тепер виконуються в режимі користувача, а не в конфігураторі.

А ось якщо ми спробуємо знайти налаштування інтерфейсів, то нас спіткає фіаско. У керованому додатку інтерфейс робочої області формується автоматично, з урахуванням прав доступу. Для прикладу порівняємо інтерфейси Панелі розділів Адміністратора та Менеджера з продажу:

Загалом – ідея здорова, є права доступу до об'єкта – показуємо його в інтерфейсі, ні – приховуємо. Це набагато краще, ніж повідомлення, що вискакують у звичайному додатку про порушення прав доступу при невідповідності останніх з призначеним інтерфейсом. Якщо ви додасте групі доступу прав або, навпаки, приберете, то пов'язані з ними елементи інтерфейсу самостійно з'являться або зникнуть. Зручно? Так.

Також користувач може самостійно налаштовувати свій робочий простір у межах наявних прав доступу. На перший погляд, все виглядає непогано, але без ложки дьогтю не обійшлося. Механізму, що дозволяє централізовано налаштувати та призначити користувачам інтерфейс "за замовчуванням" у керованому додатку немає.

Якщо ми заглянемо в Адміністрація - Налаштування користувачів та прав - Персональні налаштування користувачів - Налаштування користувачів, то побачимо там перелік усіх об'єктів, налаштування яких були змінені користувачем, проте ніяк не зможемо їх змінити.

Тобто. нам пропонують зайти безпосередньо під користувачем та налаштувати робочий інтерфейс від його імені. Спірне рішення, особливо якщо користувачів не два і не три. На щастя, розробники передбачили можливість копіювання налаштувань користувача, що дозволяє, налаштувавши інтерфейс одного з користувачів так, як нам треба швидко застосувати налаштування для всіх інших.

Щоб не бути голослівними, розберемо практичний приклад. У рамках підготовки до переходу на онлайн-каси вирішили автоматизувати касові місця невеликої мережі стоматологічних клінік. Основу автоматизації клінік становило галузеве ПЗ не на базі 1С і не передбачає можливість підключення фіскального реєстратора, тому було прийнято рішення для автоматизації касових місць використовувати конфігурацію Бухгалтерія підприємства 3.0, яка містить усі необхідні функції.

Тут ми зіткнулися з двома складнощами, хоча якщо подивитися уважніше, то виявиться, що це дві сторони однієї медалі. Якщо коротко: персонал ніколи до цього не працював з 1С і тому потрібно створити максимально просте в освоєнні робоче середовище, при цьому захистивши інформаційну базу від можливого некваліфікованого впливу персоналу. Керований додаток дозволяє досить просто поєднати приємне з корисним, зробивши так, щоб і користувача обмежити, і в той же час дозволити йому комфортно працювати, не помічаючи обмежень.

Почнемо. Насамперед необхідно створити профіль групи користувачів. Якщо ми відкриємо стандартні профілі, то побачимо, що їхня можливість змінювати відсутня. Це, з погляду, правильно, історія знає масу прикладів, як у приступі службового прагнення стандартні права були перелопачені до стану, що їх доводилося відновлювати з еталонної зміни. Також це здатне ввести в оману інших користувачів або адміністраторів цієї бази, які під стандартними профілями очікують побачити стандартні набори прав.

Тому знайдемо найбільш підходящий для наших завдань профіль, у нашому випадку це Менеджер з продажу, і зробимо його копію, яку назвамо Касир. Тепер ми можемо налаштовувати права на власний розсуд. Однак плоский список, пропонований за замовчуванням, не зовсім зручний для роботи, якщо вам не потрібно швидко знайти вже відому вам опцію, в більшості випадків набагато зручніше працювати зі списком включивши угруповання по підсистемах.

Ми не будемо подібно зупинятися на цьому питанні, оскільки призначення прав залежить від конкретних завдань, які стоять перед користувачем, можемо лише порадити виявляти розсудливість і не скочуватися в крайнощі. Пам'ятайте, що ваше завдання – створення зручного та безпечного робочого середовища, а не тотальна заборона всього чого тільки можна.

Створивши профіль, призначаємо групу доступу потрібним користувачам і запускаємо програму під одним з них. Залежно від призначених прав ви побачите автоматично сформований інтерфейс.

У принципі, вже досить непогано, але в нашому випадку все тільки починається. На нашу подив дуже багато користувачів і адміністратори досі не мають поняття як налаштовується інтерфейс "Таксі" продовжуючи скаржитися на його "незручності".

Перейдемо в Головне меню - Вид, де побачимо низку налаштувань, що стосуються інтерфейсу.

Почнемо з налаштування панелі розділівУ нашому випадку асортимент був обмежений коротким списком послуг, тому розділ склад виявився зайвим, щоб не ускладнювати і не обтяжувати інтерфейс просто приберемо його.

Потім у кожному розділі, натиснувши на шестерню у верхньому правому кутку, послідовно налаштуємо навігацію та дії. Тут також приберемо все не потрібне у повсякденній роботі, а потрібне, навпаки, винесемо на перший план.

Можна навіть порівняти, як було і як стало:

І на закінчення виконаємо налаштування панелей. Оскільки розділів у нас небагато, то панель розділів має сенс перемістити вгору, а панель відкритих вниз, тим самим розширивши робочий простір по горизонталі, що є актуальним для моніторів з невеликою діагоналлю або формату 4:3.

Після завершення слід ще раз перевірити всі налаштування, найкраще це зробити, імітуючи реальні дії касира, що одразу допоможе оцінити зручність роботи з інтерфейсом. У нашому випадку вийшло просте та зручне робоче місце касира, принаймні проблем з його освоєнням персоналом не виникло:

Тепер знову увійдемо в програму під адміністратором і перейдемо до Адміністрації - Налаштування користувачів та прав - Персональні налаштування користувачів - Копіювання налаштувань. Наше завдання поширити зроблені нами зміни на користувачів групи Касіри, що залишилися. Сама операція досить проста: вибираємо користувача, налаштування якого ми копіюємо, вказуємо комусь і вибираємо що саме.

Ну і насамкінець можна заборонити користувачу самостійно налаштовувати інтерфейс, для цього знову поверніться до профілю групи та зніміть галочку з дії Збереження даних користувача.

Як бачимо, налаштування інтерфейсу та прав користувачів у керованому додатку досить просте і незважаючи на деякі недоліки надає адміністраторам набагато більшу гнучкість та зручність, дозволяючи швидко створювати зручні та безпечні робочі середовища.

Теги:

Please enable JavaScript to view the 2016-12-01T13:37:17+00:00

Правильне настроювання списку користувачів та їх прав доступу до бази 1С:Бухгалтерія 8.3 (редакція 3.0) є необхідним за будь-якої кількості людей, які працюють з програмою. Навіть якщо з нею працюєте лише ви!

Таке налаштування дозволяє надалі відповісти на такі питання, як "Хто вніс ті чи інші зміни до бази", "Як дати до бази доступ тільки на перегляд для перевіряючого", "Хто дозволив помічникові змінити налаштування облікової політики" та подібні до них.

У третій редакції таке налаштування, на мій погляд, стало простіше та інтуїтивно зрозуміліше. Сьогодні я розповім, як краще налаштувати користувачів та їхні права. Намагатимуся розглянути найбільш загальний випадок.

Отже, налаштовуватимемо наступних користувачів:

Адміністратор : користувач, який має повні права на базу і не має жодних обмежень. Не потрібно використовувати цього користувача для щоденної роботи. Пароль від адміністратора слід давати програмістам та адміністраторам, які нам налаштовують чи оновлюють базу. Так як під цим користувачем працюватимуть тільки вони - ми надалі завжди зможемо в журналі реєстрації відокремити їх зміни в базі роботи інших користувачів. Це буває корисно у разі "розбору польотів".

Головний бухгалтер : користувач, який має права не менші, ніж адміністратор, але є самостійною роллю зі своїм паролем. Під цим користувачем працюватимете ви самі.

Бухгалтер: якщо у вас є помічники або інші бухгалтери в підпорядкуванні, цей користувач підійде для них. Які обмеження накладає ця роль:
- Заборона зміни параметрів обліку.
- Заборона зміну облікової політики.
- Заборона зміну плану рахунків.
- Заборона редагування списку користувачів.
- Заборона настроювання рахунків обліку номенклатури.
- Заборона видалення помічених на видалення елементів.
- Заборона зміни дати заборони зміни даних.

Перевіряючий : цей користувач матиме лише права на перегляд бази. Нічого міняти у ній він не зможе.

1. Зайдіть у розділ "Адміністрування" і виберіть там "Налаштування користувачів та прав" ():

2. У панелі виберіть пункт "Користувачі":

3. За замовчуванням користувач "Адміністратор" вже має бути в цьому списку. Зробіть подвійне клацання на ньому, щоб відкрити його налаштування.

4. Зробіть налаштування як на малюнку нижче. Пароль придумайте самі – його потрібно повторити двічі. Звертаю вашу увагу, що кожен з користувачів повинен мати свій пароль. Залишилося натиснути "Записати та закрити". Готово!